CVE-2021-21985: Critical VMware vCenter Server Remote Code Execution

0
31

VMware, vCenter Server’da kritik bir uzaktan kod yürütme güvenlik açığı için düzeltme için güncelleme yayımladı. Kuruluşların mümkün olan en kısa sürede yama uygulaması şiddetle önerilmektedir.

vCenter Server kullanıyorsanız (bu konuda bir e-posta almadıysanız, Güvenlik Danışma listesine abone olabilirsiniz).

25 Mayıs’ta VMware, VMware vSphere sistemleri için merkezi bir yönetim yazılımı olan vCenter Server’ı etkileyen iki güvenlik açığıyla ilgili bir danışma belgesi (VMSA-2021-0010)yayımladı. Nadir bir hareketle VMware, kullanıcıların bu güvenlik açıklarını nasıl azaltabileceğine dair rehberlik sağlayan bir blog gönderisi de yayınladı.

VMware Analiz

CVE-2021-21985, vSphere İstemcisi’nde varsayılan olarak etkinleştirilen Sanal SAN (vSAN) Sistem Durumu Denetimi eklentisi aracılığıyla uzaktan kod yürütme güvenlik açığı olarak tanımlandı. Bu güvenlik açığına 9,8 CVSSv3 puanı atandı ve kritik olarak işaretlendi.

Saldırganın bu güvenlik açığından yararlanabilmesi için 443 numaralı bağlantı noktası üzerinden vCenter Server’a erişebilmesi gerekir. Bir kuruluş vCenter Server’ı dışarıdan kullanmamış olsa bile, saldırganlar bu kusurdan bir ağ içinde bir kez yararlanabilir. VMware özellikle fidye yazılımı gruplarını, mızraklama gibi başka yollarla bir ağa erişim sağladıktan sonra, bu uzlaşma sonrası gibi kusurlardan yararlanmada usta olarak adlandırır. Başarılı yararlanma, saldırgana temel alınan vCenter ana bilgisayarında rasgele komutlar yürütme olanağı verir.

CVE-2021-21986, 6,5 CVSSv3 puanı atanan ve orta şiddette olan birkaç vCenter Server Eklentisinde bir kimlik doğrulama mekanizması sorunudur. Etkilenen vCenter Server Eklentileri şunları içerir:

  • vSAN Health Check
  • Site Recovery
  • vSphere Lifecycle Manager
  • VMware Cloud Director Availability

CVE-2021-21986 bağlantı noktası 443 üzerinden de kullanılabilir ve saldırganın kimlik doğrulaması olmadan eklenti işlevlerini gerçekleştirmesine izin verebilir.

Bu güvenlik açıklarının her ikisi de vCenter Server’ın 6.5, 6.7 ve 7.0 sürümlerini etkiler.

ProductVersionRunning OnCVE IdentifierCVSSv3SeverityFixed VersionWorkaroundsAdditional Documentation
vCenter Server7.0AnyCVE-2021-219859.8Critical 7.0 U2bKB83829FAQ
vCenter Server6.7AnyCVE-2021-219859.8Critical 6.7 U3nKB83829FAQ
vCenter Server6.5AnyCVE-2021-219859.8Critical 6.5 U3pKB83829FAQ
ProductVersionRunning OnCVE IdentifierCVSSv3SeverityFixed VersionWorkaroundsAdditional Documentation
Cloud Foundation (vCenter Server)4.xAnyCVE-2021-219859.8Critical 4.2.1KB83829FAQ
Cloud Foundation (vCenter Server)3.xAnyCVE-2021-219859.8Critical 3.10.2.1KB83829FAQ

VMware Güvenlik DanışmaLarı her zaman etkilenen belirli ürün sürümlerini listeler. Bu durumda vCenter Server 6.5, 6.7 ve 7.0’dır.

Bu konuda ne zaman bir şey yapmam gerekiyor?

Hemen şimdi. Bu güncelleştirmeler kritik bir güvenlik açığını giderir ve bir kerede dikkate alınması gerekir. Değişiklik türlerinin ITIL tanımlarını kullanarak değişim yönetimi uygulayan kuruluşlar bunu bir “acil durum değişikliği” olarak değerlendirir. Tüm ortamlar farklıdır, riske karşı farklı toleransa sahiptir ve riski azaltmak için farklı güvenlik kontrollerine ve derinlemesine savunmaya sahiptir, bu nedenle nasıl devam edineceklerine ilişkin karar size kalmış. Ancak, ciddiyeti göz önüne alındığında, kesinlikle harekete geçmenizi öneririz.

Neden etkilendim?

VMSA, bu düzeltme eki sürümünde giderilen iki sorunu özetler. İlk olarak, vCenter Server’ın bir parçası olarak gelen vSAN eklentisinde bir uzaktan kod yürütme güvenlik açığı vardır. Bu güvenlik açığı, vSAN kullanıp kullanmadığınıza bakılmaksızın erişim sağlamak için ağ üzerinden vCenter Server’a erişebilen herkes tarafından kullanılabilir.

İkinci olarak, eklenti kimlik doğrulamasını daha iyi zorlamak için vCenter Server eklenti çerçevesine iyileştirmeler yapıldı. Bu, bazı VMware eklentilerini etkiler ve bazı üçüncü taraf eklentilerin çalışmayı durdurmasına da neden olabilir. VMware iş ortakları bilgilendirildi ve eklentilerini test etmek için çalışıyor (çoğu çalışmaya devam ediyor), ancak güncellemeden sonra bir sanallaştırma yönetici ekibinin vSphere İstemcisi kullanıcı arayüzü üzerinden değil, ilgili yönetim arabirimleri aracılığıyla yedekleme, depolama veya diğer sistemlere erişmesi gerekebileceği bir süre olabilir. Ortamınızdaki bir üçüncü taraf eklentisi etkileniyorsa, lütfen bir güncelleştirme için bunu sağlayan satıcıya başvurun.

Kendimi korumak için ne yapmalıyım?

İlk olarak, vCenter Server’a düzeltme eki uygulama yapabilirseniz, bunu yapın. Genel olarak, bu sorunu çözmenin en hızlı yolu budur, vCenter Server Appliance’daki (VCSA) dosyaları düzenlemeyi içermez ve güvenlik açığını tamamen ortadan kaldırır. Buradan, satıcılar yeni sürümler yayınladıkça herhangi bir eklentiyi güncelleyebilirsiniz.

Hemen düzeltme eki uygulamazsanız ve vSAN kullanmıyorsanız, bu VMSA’dan etkilenen eklentileri devre dışı bırakma için VMSA’dan bağlı geçici çözümler vardır. Bu, VCSA’daki bir metin dosyasını düzenlemeyi ve hizmetleri yeniden başlatmayı içerir. Güncelledikten sonra bu eklentileri yeniden etkinleştirmeyi unutmayın. vSphere 7’deki vSphere Yaşam Döngüsü Yöneticisi eklentisini devre dışı bırakırsanız, vCenter Server’ı Sanal Cihaz Yönetim Arabirimi’nden (VAMI) yamalayana kadar bu işlevselliği kaybedersiniz.

Site Recovery kullanıyorsanız, ilişkili eklentiyi devre dışı bırakabilir ve Site Recovery arayüzünün kendisi aracılığıyla ortamınızı yönetmeye devam edebilirsiniz.

Bir vSAN müşterisiyseniz, vSAN eklentisini devre dışı bırakmanız vSAN’ı yönetme tüm yeteneklerini ortadan kaldıracaktır. İzleme yok, yönetim yok, alarm yok, hiçbir şey yok. Bu, kuruluşunuz için çok kısa süreler için iyi olabilir, ancak VMware olarak bunu öneremeyiz. Lütfen dikkatli olun.

Ortamınızda düzeltme eki uygulama olana kadar sizi korumaya yardımcı olabilecek başka güvenlik denetimleriniz olabilir. Örneğin, vCenter Server yönetim arabirimlerine erişimi kısıtlamak için ağ çevre erişim denetimlerini kullanma.

Fidye yazılımı çağında, bir saldırganın zaten bir yerde, bir masaüstünde ve hatta bir kullanıcı hesabının kontrolünde olduğunu varsaymak en güvenlidir, bu yüzden acil durum değişikliği ve düzeltme eki uygulamanızı en kısa sürede şiddetle tavsiye ederiz.

Düzeltme Eki Uygulama İpuçları

Bu danışma belgesi yalnızca vCenter Server içindir, böylece düzeltme eki uygulamanın etkisini (tüm ana bilgisayarları güncelleştirmeye karşı) azaltır. vCenter Server, vSphere için yönetim arabirimidir ve yeniden başlatmak iş yükü kullanılabilirliğini etkilemez, sadece iş yüklerini yönetme yeteneğidir. Bu, iş yüklerinin çalışmaya devam edeceğini anlamayabilecekleri için, yöneticileri değiştirmek için de önemli bir noktadır.

Düzeltme eki kullanırken başarıyı sağlamaya yönelik diğer bazı düşünceler:

  • Kuruluşunuzun VCSA kök &administrator@vsphere <1> <6>.local hesap parolalarının doğru depolandığından ve kilitlenmediğinden emin olun. Varsayılan olarak, VCSA kök hesabı 90 gün sonra kendini kilitler, bu da acil bir durumda ihtiyacınız olursa istenmeyen bir sürpriz olabilir. Düzeltme eki uygulamadan önce, bu hesapların düzgün çalıştığını doğrulamanızı, gerekirse parolaları kurtarmanızı (bazen vCenter Server’ın yeniden başlatılmasını gerektirir) ve iş iyi bir güvenlik uygulaması olarak yapıldıktan sonra bunları değiştirmemizi öneririz.
  • Cihazda zaman ayarlarının doğru olduğundan emin olun. Sistemlerle ilgili birçok sorun yanlış zaman eşitlemesine kadar izlenebilir. Açık kaynaklı NTP yazılımının bakımcıları dört NTP sunucusunu yapılandırmayı önerir (ancak iki değil – biri yanlışsa hangisinin!) olduğunu asla bilemezsinz.
  • DNS’de vCenter Server için doğru yapılandırılmış bir A (ileri) ve PTR (ters) kaydı olduğundan emin olun. “Bunlar temeldir ve uzun zaman önce kuruldu” diye düşünebilirsiniz, ancak kontrol etmek sadece bir saniye sürer ve bazen ilginç şeyler öğrenirsiniz. PTR kayıtları vCenter Server için gereklidir ve bunları atlayıp kabul edilen bir güvenlik uygulaması değildir.
  • vCenter Server’ın dosya tabanlı yedekleme ve geri yüklemenin yapılandırıldığından ve zamanlanmış çıktı oluşturduğundan emin olun. Bunu, VCSA’daki 5480/tcp bağlantı noktasındaki Sanal Gereç Yönetimi Arabirimi (VAMI) aracılığıyla yapılandırabilirsiniz.
  • Güncellemeden önce VCSA’nın bir anlık görüntüsünü alın ve tercihen VCSA düzgün ve temiz bir şekilde kapatıldıktan sonra ESXi ana bilgisayar istemcisinden. Anlık görüntülerin performans etkileri vardır, bu nedenle yükseltme doğrulandıktan kısa bir süre sonra sildiğinizden emin olun.
  • Deneyimli bir sysadmin bir zamanlar, bir sistemin yeniden başlatılmasından bu yana uzun zaman geçtiyse, genellikle yerinde yeniden başlatmanın iyi bir fikir olduğunu, tekrar ortaya çıkmasına izin verdiğini ve iyi çalıştığını kanıtlamasını önerdi. Aksi takdirde, bir sorunun önceden var olup olmadığını veya az önce meydana gelen iş nedeniyle mi olduğunu anamazsınız. Ek bir yeniden başlatma, yönetim arabiriminin kapalı kalma süresini ekler, ancak düzeltici eylem gerekiyorsa, hizmeti geri yükleme süresini kısaltır.
  • vSphere HA özel bir yalıtım adresiyle (das.isolationaddress) yapılandırılmışsa, vCenter Server’ın kendisine ayarlı olmadığından veya birden çok adresin belirtildiğiden emin olun.
  • Mümkün olduğunda, vCenter Server’da yüklü eklenti sayısını en aza indirin. Modern sıfır güven güvenlik mimarisi uygulamaları, saldırganların hayatını zorlaştıracak şekilde sistemleri bu şekillerde bağlamayı engeller (özellikle yedeklemelerinize erişime izin veriyorsa, tek bir cam bölme siber suçlular için de güzeldir). Yüklenen daha az şey, uyumluluk açısından endişelenecek daha az şey anlamına gelir ve yükseltmeleri ve düzeltme eklerini çok daha az çalışır hale getirir.
  • VCenter Server’ı belirli bir ESXi ana bilgisayarında tutmak için DRS gruplarını ve kurallarını kullanın, böylece bir sorun varsa ESXi ana bilgisayar istemcisini kullanarak VCSA’yı kolayca bulabilirsiniz. Yalnızca içinde bir ana bilgisayar olan bir ana bilgisayar grubu oluşturun ve bu VM’yi bu ana bilgisayar üzerinde tutmak için bir “gerekir” benzeşim kuralı oluşturun. “Olmalıdır” kullanarak, normal ana bilgisayar düzeltme eki uygulama için VCSA’nın DRS tarafından otomatik olarak taşınmasını sağlarsınız. Bir yönetim iş istasyonunun bu ESXi ana bilgisayarındaki ana istemci arabirimine ulaşabildiğine ve oturum açabildiğinize emin olun.

CEVAP VER

Lütfen yorumunuzu giriniz!
Lütfen isminizi buraya giriniz